Les utilisateurs de Robinhood victimes d’une arnaque de phishing trompant les filtres de sécurité de Gmail

Les clients de Robinhood ont été frappés par des emails de phishing ce week-end. Pas le spam habituel. Ceux-là semblaient réels.

Les messages provenaient de [email protected], portaient tous les tampons d’authentification corrects et ont échappé aux filtres anti-spam comme s’ils y appartenaient. Ils se sont même intégrés dans des conversations Gmail existantes. Dimanche soir, Twitter crypto était en ébullition avec des avertissements. Les gens vérifiaient leurs comptes. Pour certains, il était déjà trop tard.

Comment l’attaque a fonctionné

Le chercheur en sécurité Abdel Sabbah a décortiqué la mécanique de la brèche. Les attaquants ont utilisé ce qu’on appelle le « dot trick » de Gmail. Gmail ignore les points dans les adresses email—[email protected] et [email protected] arrivent dans la même boîte de réception. Le système de Robinhood ne normalise pas ces variations. Ainsi, les hackers ont enregistré des comptes avec des versions pointées d’adresses email légitimes, puis ont manipulé les noms d’appareils en utilisant du code HTML brut. Lorsque le pipeline de notification de Robinhood a déclenché des alertes de sécurité, le HTML malveillant s’est affiché à l’intérieur de ce qui ressemblait à des avertissements authentiques.

Les messages de phishing voulaient des identifiants de connexion. Ils voulaient des codes d’authentification à deux facteurs. Ils voulaient accéder aux fonds, en gros. Et le plus effrayant ? Tous les contrôles standard que les gens utilisent pour repérer les faux ne fonctionnaient pas ici. Le domaine de l’expéditeur était correct. Les signatures DKIM, SPF et DMARC étaient toutes validées. Les systèmes de sécurité des emails ne voyaient rien d’anormal.

David Schwartz de Ripple a réagi rapidement aux avertissements. Il avait déjà vu quelque chose de similaire—en avril 2025, des attaquants avaient réalisé une manœuvre comparable en utilisant l’infrastructure de Google elle-même. Cette fois-là, les emails de phishing provenaient de [email protected]. Même scénario. Même exploitation de la manière dont les grandes plateformes gèrent l’authentification des emails et les notifications aux utilisateurs.

Les conseils traditionnels vous disent de vérifier le domaine de l’expéditeur. Vérifiez les échecs d’authentification. Recherchez les fautes de frappe ou les formats étranges. Rien de tout cela n’a aidé ici. Les emails ont passé tous les tests techniques. Ils semblaient légitimes car, dans la plupart des aspects qui importaient aux filtres de sécurité, ils l’étaient. Les propres conseils de Robinhood disent de vérifier le domaine de l’expéditeur, mais lorsque le domaine est effectivement correct et que les signatures sont toutes validées, ce conseil s’effondre.

Ce que Robinhood ne dit pas

Protos a contacté Robinhood pour un commentaire. Aucune réponse n’est revenue avant la publication. L’action de la société a ouvert inchangée sur le Nasdaq lundi matin. Les marchés ne se souciaient pas, ou peut-être ne l’avaient-ils pas encore remarqué. Mais les utilisateurs paniquaient sur les réseaux sociaux, comparant les notes sur les emails qu’ils avaient reçus et s’ils avaient cliqué sur quelque chose.

Le silence de Robinhood soulève des questions. Que fait la société pour corriger le pipeline de notification ? Combien d’utilisateurs ont été touchés ? Combien d’argent est parti ? Il n’y a pas de rapport d’incident public. Pas de calendrier pour les correctifs. Juste les canaux habituels de support client disant aux gens de faire attention.

Et c’est un peu le problème. Faire attention ne suffit pas lorsque les attaques sont si sophistiquées. Les utilisateurs ne peuvent pas faire la différence entre une vraie alerte de sécurité et une fausse si les deux proviennent de la même source authentifiée. Le fardeau ne devrait pas reposer entièrement sur les clients pour décoder les en-têtes d’email et deviner quels noms d’appareils contiennent du HTML malveillant.

En relation : L’armée américaine exécute un nœud Bitcoin alors que le Pentagone envisage la crypto pour les opérations de défense

Les protocoles d’authentification des emails comme DKIM étaient censés résoudre cela. Ils vérifient que les messages proviennent réellement de ceux qu’ils prétendent provenir. Mais lorsque les attaquants compromettent le système de notification lui-même, ces protocoles deviennent partie du problème. Ils apposent un sceau d’approbation sur le contenu malveillant.

Le « dot trick » de Gmail n’est pas nouveau. Les chercheurs en sécurité en ont averti depuis des années. Mais l’échec de Robinhood à normaliser les adresses email avant d’envoyer des notifications a créé une faille exploitable. Les attaquants ont enregistré des comptes avec des variations pointées, déclenché des alertes de sécurité légitimes et détourné le pipeline de notification. Les propres systèmes de la société sont devenus l’arme.

Ce que les utilisateurs peuvent réellement faire

Les conseils standards s’appliquent toujours, même s’ils semblent inadéquats. Ne cliquez pas sur les liens dans les emails inattendus. Point. Même s’ils semblent parfaits. Même si le domaine est correct. Même s’ils s’intègrent dans des conversations existantes. Allez directement sur l’application ou le site web à la place.

Activez les clés de sécurité matérielles pour l’authentification à deux facteurs si la plateforme les prend en charge. Les codes SMS et les applications d’authentification peuvent être phishés. Les clés matérielles ne le peuvent pas. Robinhood les prend en charge, bien que la plupart des utilisateurs ne prennent probablement pas la peine de les configurer.

Surveillez les activités inhabituelles sur votre compte. Vérifiez votre historique de transactions quotidiennement. Configurez des alertes pour les retraits au-dessus d’un certain seuil. Si quelque chose bouge sans votre connaissance, vous voulez le savoir immédiatement, pas trois jours plus tard quand les fonds sont déjà partis.

Lire aussi : Le réseau LTC sous pression après une réorganisation de 13 blocs exposant une faiblesse de Mimblewimble

Mais honnêtement ? La véritable solution doit venir de Robinhood. L’entreprise doit normaliser les adresses email avant d’envoyer des notifications. Elle doit assainir les noms d’appareils et supprimer le HTML. Elle doit repenser la manière dont son pipeline de notification gère les entrées contrôlées par l’utilisateur. La vigilance individuelle ne va que jusqu’à un certain point lorsque la plateforme elle-même est vulnérable.

La sophistication ici est assez incroyable. Les attaquants n’ont pas seulement envoyé de faux emails—ils ont armé l’infrastructure légitime de Robinhood. Ils ont transformé les alertes de sécurité en vecteurs de phishing. Et ils l’ont fait d’une manière qui a trompé à la fois les utilisateurs et les systèmes de sécurité automatisés.

D’autres plateformes ont probablement des vulnérabilités similaires. Le « dot trick » de Gmail fonctionne partout où Gmail fonctionne. Tout service qui envoie des notifications basées sur des entrées contrôlées par l’utilisateur—noms d’appareils, surnoms de comptes, informations de profil—pourrait être exploité de la même manière. Robinhood s’est juste trouvé être la cible ce week-end. Le week-end prochain, ce pourrait être Coinbase ou Kraken ou Binance.US.

L’incident de Google en avril 2025 a montré que ce n’était pas une technique isolée. Les attaquants affinent ces méthodes, trouvent de nouvelles plateformes à exploiter et développent leurs opérations. Le fait que l’action de Robinhood n’ait pas bougé suggère que les investisseurs ne comprennent pas la gravité ou ne pensent pas que cela nuira aux résultats financiers. Peut-être ont-ils raison. Peut-être que les utilisateurs s’en moqueront et continueront à trader. Mais la vulnérabilité demeure, et les attaquants savent que cela fonctionne.